应急响应开始咯
应急响应
Class: CSCI 104
Created: December 8, 2022 4:57 PM
Reviewed: No
Type: Lecture
-
入侵内容
web入侵
挂马,网页篡改(菠菜,黑帽seo),植入webshell,黑页,暗链等
主机入侵
病毒木马,勒索病毒,远控后门,系统异常,RDP爆破,SSH爆破,主机漏洞,数据库入侵等
网络攻击
DDOS/CC攻击,ARP攻击,DNS/HTTP劫持
路由器交换机攻击
内网病毒,配置错误,机器本身漏洞
windows 常用win+R —-mmc
-
日志查看
1)windows
eventvwr.msc打开
windows日志位置
windows2000/2003/xp
%Systemroot%\System32\Config*.evt
windows vista/7/8++++
%Systemroot%\System32\winevt\Logs*.evtx
2)Liunx
历史命令
history
history -c 清除
日志分析
默认日志/var/log/
more /etc/rsyslog.conf 查看日志情况
journalctl -u firewalld -n 50 查看最近的50条防火墙日志
3)日志审计
php.+? 200
一般找带有admin的(指一般)
-
检查账户
-
Windows
注册表:HKEY_USERS(一般常见长的有两个)
mmc添加本地用户组
net user(可能有的查不到)
-
Linux
whoami
系统信息
who
查看系统信息
uname -aw 查看系统信息
cat /etc/passwd 用户信息文件
cat /etc/shadow 用户密码
less /etc/passwd
ls -l /etc/passwd 查看文件修改时间
usermod -L [user] 锁定用户 -U 解锁用户
userdel [user] 删除用户
userdel -r [user] 删除用户和他的home用户登录检查
last
数据源/var/log/wtmp /var/log/btmplastb
数据源/var/log/btmplastlog
/var/log/lastloglast -x reboot
last -x shutdown
/var/log/lastlog /var/log/secure/var/log/message 存储认证信息,追踪恶意用户登录行为
-
-
文件分析
1)临时目录 tmp、temp、回收站
-
windows
C:\Users\Asus\Local Settings\Temp
C:\WINDOWS\Temp
C:\Users\Asus\Recent
浏览器C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files
C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache
其他
系统配置文件
C:\Windows\System32\config\systemprofile\AppData\local
-
Linux
webshell后门可以通过sftp复制出来
敏感目录文件分析
/etc/init.d
/usr/bin
/usr/sbinls -alt 时间排序
file [文件]
特殊权限文件查找
find / *.jsp -perm 4777隐藏文件 .开头的文件隐藏属性
ls -al /tmp | grep "Feb 10"敏感目录
/tmp
/root
/bin
/usr/bin
/usr/sbin
/sbin被入侵的系统,肯定有文件被改动,通过比较文件的md5,创建时间,文件路径
find / -uid 0 -print 查找特权文件
find / -size +10000k -print
find / -name "..." -print
md5sum -b [文件名]
whereis [文件名]
2)文件修改时间(按时间)
3)hosts文件
-
linux文件查杀
webshell查杀
www.shellpub.com病毒/rootkit查杀
www.chkrootkit.org综合查杀工具
www.xmirror.cn/page/prodon
-
-
网络行为排查
google/baidu
网络连接排查
netstat -ano
tasklist
流量分析
wireshark,charles
如果主机访问xx123.3322.org(奇怪域名)
-
Linux
netstat -ano查看网络和端口情况
netstat -utnpl
arp -a 查看arp表lsof -i :[port]
显示进程和端口的对应关系ls -l /proc/[pid]/exe
file /proc/[pid]/exe
某个pid对应的文件路径使用iptables屏蔽ip
iptables -A INPUT/OUTPUT -s/d [目标ip] -j ACCEPT/DROP
用iptables封锁和x.com的域名通信
iptables -I INPUT -p tcp --dport 80 -m string --string "x.com" --algo bm -j DROPfirewall-cmd —state firewall-cmd —list-all
firewall-cmd —zone=public —add-port=80/tcp —permanent
firewall-cmd —reload
-
-
漏洞和补丁信息
命令systeminfo
打开Windows自动更新
-
DDOS通用防御
限制单ip请求,负载均衡,cdn,禁止icmp,隐藏真实ip,流量清洗
优化tcp/ip栈,代码合理使用缓存,cdn云清洗
1)syn攻击判断:
服务器cpu占用率高
大量SYN_RECEIVED网络连接状态
网络恢复后,负载瞬间变高,断开后负载下降
2)udp攻击判断:
服务器cpu占用率高
每秒大量数据包
tcp正常
3)CC攻击:
服务器cpu占用率高
web服务器出现service unavailable提示
大量establish网络连接,单ip高达上百,用户无法正常访问
3)syn+ack防御:
提高半开放连接队列的大小
/proc/sys/net/ipv4/tcp_max_syn_backlog
3)dns放大攻击:
大量的dns请求
防御:ips规则,关闭递归查询,dns解析器只接受受信任的域名服务,acl
-
arp欺骗判断
arp -a 查看mac地址是否重复
防御:
防火墙,mac地址绑定
-## 可疑进程分析
- Windows
任务管理器详细信息
名称:如果难以英文缩写或者奇怪拼音
用户:陌生用户运行
pchunter或者WEK64
tasklist | findstr 进程id
wmic process | find "进程id" > proc.csv
tasklist /svc
- Linux
top -c -o %CPU [c 是进程的命令行,p是进程的pid]
ps -e -o pid,ppid,%mem,%cpu,cmd —sort=-%cpu |head -n 5
ps aux | grep [pid]
寻找pid对应的进程
lsof -p [pid]
查看进程打开的文件
md5sum [文件名]
计算文件的md5值, 进行校验看看是否发现文件被插入了什么
ps -aux
ps -ef
top -c
lsof -p [pid]
lsof -i :[port]
lsof -c
lsof [eval.sh](http://eval.sh/) 查看文件占用
ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n | uniq >2
diff 1 2
-
启动项排查和计划任务
-
注册表
1.Load注册键
介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
2.Userinit注册键
这里能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe。这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe”(不含引号)。
位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
3.Explorer-Run注册键
位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
4.RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
5.RunServices注册键
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
6.RunOnce\Setup注册键
RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
7.RunOnce注册键
安装程序通常用RunOnce键自动运行程序,它的位置在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
8.Run注册键
Run是自动运行程序最常用的注册键,位置在:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。
9.Windows Shell──系统接口
位于HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
下面的Shell字符串类型键值中,基默认值为Explorer.exe,当然可能木马程序会在此加入自身并以木马参数的形式调用资源管理器,以达到欺骗用户的目的。
10.常用的启动——系统配置文件
Windows的配置文件,包括Win.ini、System.ini和wininit.ini文件也会加载一些自动运行的程序
Win.ini文件
在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。
System.ini文件
默认[boot]段下“shell=”的语句为“shell=Explorer.exe”,启动的时候运行Windows外壳程序
explorer.exe,黑客可将该句变成“shell=病毒文件名.exe。
11.系统服务
位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,系统服务加载程序,其中netsvcs 是一组服务的集合(通过svchost 用来加载成组服务),不是单个的服务,具体哪些服务在 netsvcs 里,可以在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
右边的 netsvcs 值里查看,里面的不一定是当前都被加载了的,只是说它们若被加载都划归在 netsvcs 组里,其中哪些服务正运行着,可和服务里的相应服务状态对照着看。
12.windows 通过AppInit加载任意dll
windows操作系统允许将用户提供的dll加载到所有的进程的内存空间中。该功能可以用来做后门持久化。有点类似于linux的ld_preload环境变量。在进程启动的时候,操作系统会将用户提供的dll加载。在设置该功能时,需要administrator权限。设置方法为修改注册表中两个选项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\WindowsNT\CurrentVersion\Windows
微软默认阻止用户通过appinit功能去加载未知的dll。不过,可以通过修改注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\LoadAppInit_DLLs为1去关闭该功能。将待加载的dll保存在Program Files文件夹,并且将AppInit_DLLs键值修改为待加载dll的路径,即可让所有windows进程都加载该dll。
这是因为在“ AppInit_DLLs”注册表项中指定的DLL是由user32.dll加载的,几乎所有应用程序都使用该user32.dll。 -
计划任务
windows
C:\Windows\Tasks或者C:\Windows\System32\Tasks
mmc的计划任务程序
-
Linux
启动项排查
/etc/init.d/
/etc/xinetd.d/查看rc.local文件(/etc/init.d/rc.local)
/etc/rc.d/rc[0-6].d/
/etc/profile.d/
计划任务:
cron
/etc/crontab
/var/spool/cron/[用户名]
crontab -l 查看计划任务
crontab -r 删除计划任务
crontab -e 使用编辑器编辑计划任务/var/spool/cron/*
/var/spool/anacron/*
/etc/crontab/*
/etc/cron.d/*
/etc/cron.时间/*
服务排查
cat /etc/services
查看网络服务
1-1024 系统保留,只能root使用
1025-4999 客户端程序自由分配
5000-65535 服务器端程序自由分配服务自动启动
chkconfig --level [运行级别] [服务名] [on/off]
chkconfig --level 2345 httpd on 开启自启动 = chkconfig httpd on
0 - 关机
1 - 单用户模式
2 - 无网络连接的多用户命令行模式
3 - 有网络连接的多用户命令行模式
4 - 不可用
5 - 图形界面多用户模式
6 - 重启chkconfig --list 查看服务自启动状态
chkconfig --del 删除相关服务
-
-
特定事件痕迹
挖矿程序
勒索病毒
qq.exe----->qq.exe.xx
file.docx---->file.docx.xx
浙公网安备 33010602011771号